Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<1415161718>»
Опции
К последнему сообщению К первому непрочитанному
Offline Riddick-84  
#151 Оставлено : 11 февраля 2019 г. 21:47:24(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
Автор: Ефремов Степан Перейти к цитате
С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)

Отредактировано пользователем 12 февраля 2019 г. 1:22:11(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#152 Оставлено : 11 февраля 2019 г. 22:33:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Riddick-84 Перейти к цитате
Может ли ваш CSP читать приватные ключи по сетке с другой машины?
Как тогда будет выглядеть конфиг нгинкса?

По теме настройки nginx + gostengy разобрались, создавайте новые темы с интересующими вопросами, а то какая-то мусорка получается.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#153 Оставлено : 11 февраля 2019 г. 22:35:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Riddick-84 Перейти к цитате
как теперь прописать старт cprocsp в самом докер контейнере или в стартовом скрипте?

Как уже сказано ранее, докер — это не про безопасность, следовательно не можем ничего рекомендовать, используйте как вам больше нравится.
Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#154 Оставлено : 12 февраля 2019 г. 1:22:46(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
в докер файл добавил
COPY start-nginx.sh ./

EXPOSE 80 443

#CMD ["nginx", "-g", "daemon off;"]
CMD ./start-nginx.sh

сам скрипт
Код:

#!/bin/bash +x
/etc/init.d/cprocsp start && nginx -g "daemon off;"
Offline Евгений_ВВ  
#155 Оставлено : 5 апреля 2019 г. 10:23:17(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте!
Использовал оба скрипта для установки криптопро+ngnix, но возникает следующая проблема:
Код:
/usr/sbin/nginx
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
 

Видел в этой теме, что она возникла, когда ngnix уже был установлен ранее, но у меня такой ситуации не было (до выполнения скриптов ngnix установлен не был).
Выполнил команду ldd /usr/sbin/nginx . И получил следующее:
Код:

        linux-vdso.so.1 (0x00007ffe72b49000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f3b3fdfc000)
        libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f3b3fbdd000)
        libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f3b3f9a5000)
        libpcre.so.1 => /usr/local/lib/libpcre.so.1 (0x00007f3b3f787000)
        libssl.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f3b3f51f000)
        libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f3b3f0dc000)
        libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f3b3eebe000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f3b3eacd000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f3b40359000)

Здесь видно, что используются старые версии SSL.
Подскажите, пожалуйста, правильно ли я понимаю, что для верного указания библиотек предназначен скрипт nginx_conf.patch?

Offline Дмитрий Пичулин  
#156 Оставлено : 5 апреля 2019 г. 10:35:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Евгений_ВВ Перейти к цитате
Использовал оба скрипта для установки криптопро+ngnix, но возникает следующая проблема:

Да, что-то пошло не так.

Как воспроизвести по шагам? (система + все выполненные команды с момента установки системы)
Знания в базе знаний, поддержка в техподдержке
Offline Евгений_ВВ  
#157 Оставлено : 5 апреля 2019 г. 11:11:44(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Система:
Код:
Description:    Ubuntu 18.04.1 LTS
Release:        18.04


Пакеты крипто про
Код:
ii  cprocsp-cpopenssl-110-64                        5.0.11216-5                                  amd64        OpenSSL-110. Build 11216.
ii  cprocsp-cpopenssl-110-base                      5.0.11216-5                                  all          Openssl-110 common Build 11216.
ii  cprocsp-cpopenssl-110-devel                     5.0.11216-5                                  all          Openssl-110 devel Build 11216.
ii  cprocsp-cpopenssl-110-gost-64                   5.0.11216-5                                  amd64        OpenSSL-110 gostengy engine. Build 11216.
ii  cprocsp-curl-64                                 4.0.9963-5                                   amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                                4.0.9963-5                                   all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs                            4.0.9963-5                                   all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64                         4.0.9963-5                                   amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64                              4.0.9963-5                                   amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-kc2-64                              4.0.9963-5                                   amd64        CryptoPro CSP KC2. Build 9963.
ii  lsb-cprocsp-rdr-64                              4.0.9963-5                                   amd64        CryptoPro CSP readers. Build 9963.


nginx:
Код:
nginx version: nginx/1.14.2




Нe могу сказать, что я на "чистой" системе запускал скрипты. Прежде чем использовать скрипты, я сначала эксперементировал с крипто про, настройкой ssl для gostengine, установкой и формированием сертификатов.
Но ngnix устанавливал только через ваш скрипт. И перед последним использованием скриптов снес ngnix и крипто про.


Offline Евгений_ВВ  
#158 Оставлено : 5 апреля 2019 г. 11:15:23(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
А нельзя как-нибудь нужные библиотеки в ручном режиме прикрутить?
Offline Дмитрий Пичулин  
#159 Оставлено : 5 апреля 2019 г. 11:15:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Евгений_ВВ Перейти к цитате
Нe могу сказать, что я на "чистой" системе запускал скрипты. Прежде чем использовать скрипты, я сначала эксперементировал с крипто про, настройкой ssl для gostengine, установкой и формированием сертификатов.
Но ngnix устанавливал только через ваш скрипт. И перед последним использованием скриптов снес ngnix и крипто про.

Мы рассчитывали, что скрипты запускаются на чистой системе, в противном случае, пользователь берёт на себя решение всех проблем, так как у него достаточно опыта для самостоятельной установки.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#160 Оставлено : 5 апреля 2019 г. 11:17:09(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Евгений_ВВ Перейти к цитате
А нельзя как-нибудь нужные библиотеки в ручном режиме прикрутить?

Можно, либо изучайте содержание скриптов и делайте выводы, либо запускайте на чистой системе. Помочь точечно всем мы не в состоянии.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<1415161718>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.